Installation d'un NT sécurisé

Cette page n'est plus maintenue. Les Pages Questions / Réponses, Outils sont maintenant disponibles sur
http://fds.mvps.org

Objet : Proposer une démarche d'installation pour éviter de laisser de trop gros trous dans la sécurité NT.

Référence : Les outils indispensables pour NT
Liens : Le travail des autres et mon inspiration

Un travail très intéressant est disponible sur le site de Patrick Chambet :

Windows NT 4.0 and Windows 2000 Security Partie 1 , Partie 2, Partie 3.

Des articles complémentaires sont disponibles sur ce site, d'autres ont été publiés dans la revue MISC.

Sur le site du laboratoire SupInfo, il y'a un article sur la sécurité ou l'insécurité de la base SAM de Windows NT/2000. Après l'avoir lu, vous saurez un peu plus pourquoi il faut faire (ou ne pas faire confiance) à la sécurité de votre système.

Chez Microsoft :

Windows Server 2003 Security Guide [MS] ou la version en ligne
What's New in Windows Server 2003 Security
Technical Overview of Windows Server 2003 Security Services

La présentation des Nouveautés de la sécurité Windows Server 2003 que j'ai faite pour les Journées de la Sécurité (4/5/6 Mai 2004)

Quelques autres éléments

[WS] indique un paramétrage pour une WorkStation, [SVR] indique un paramètre intéressant sur un serveur.

S01 : Protection du fichier d'échange (pagefile.sys)[WS]
S02 : Quelques réflexions sur les virus...
S03 : Interdire a Windows Media Player de lancer des pages HTML contenant des scripts
S04 : Configuration de l'économiseur d'écran pour le compte admin
S05 : Définir une taille de mots de passe adaptée
S06 : Limiter l'accès physique aux machines sensibles
S07 : Utiliser des outils adaptés
S08 : Désactiver le LMHash
S09 : Comment sécuriser windows NT 4.0
S10 : Comment sécuriser windows XP [ToutWindows ]
S99 : Fini pour le moment ?

S01 : Protection du fichier d'échange (pagefile.sys) [WS]

Les pages mémoires sont enregistrées sur le disque dans le fichier d'échange (fichier SWAP ou Page file), Ce fichier inaccessible lors du fonctionnement du système peut se révéler indiscret si on redémarre le système avec un autre système.

Il est possible de demander au système de "nettoyer" ce fichier lors de l'arrêt du système en paramétrant la clé de registre suivante :

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\ClearPageFileAtShutdown à la valeur 1
ou utilisez le fichier ClearPageFile.reg

Ce paramétrage n'évite pas que des données confidentielles persistent après un crash ou un arrêt brutal du système.

S02 : Quelques réflexions sur les virus...

Voir : Virus

S03 : Interdire a Windows Media Player de lancer des pages HTML contenant des scripts

http://www.laboratoire-microsoft.org/tips/tips/366.asp

S04 : Configuration de l'économiseur d'écran pour le compte admin

Voici les clés à positionner pour cela :

[HKEY_CURRENT_USER\Control Panel\Desktop]
"ScreenSaveTimeOut"="7200"  (valeur du timeout en secondes)
"ScreenSaveActive"="1"   (activation 1 ou désactivation 0)
"ScreenSaverIsSecure"="0"   (autorisation 1 ou blocage 0 du mot de passe)
"SCRNSAVE.EXE"="C:\\WINNT\\System32\\WINEXIT.SCR"
     (chemin d'accès à l'écran de veille, ici winexit en exemple)

Vous pouvez aussi lire :

How can I force my clients to use a password protected screen saver?
www.jsiinc.com/SUBD/tip1900/rh1966.htm
How can I set a screen saver using system policy in Windows NT 4.0?
www.jsiinc.com/sube/tip2200/rh2296.htm

S05 : Définir une taille de mots de passe adaptée

Sur les systèmes NT, la taille de 7 caractères est souvent conseillée. Pour des mots de passes plus sérieux vous pouvez aller jusqu'a 14 caractères sous NT ou le dépasser largement sous 2000 si vous en plus vous voulez interdire l'accès du compte à un système plus ancien.

Pour configurer la taille minimum du mot de passe voir chez Winguide :

Pour les systèmes 2000/XP, un mot de passe de plus de 14 caractères permet de désactiver le Haschage LM.

S06 : Limiter l'accès physique aux machines sensibles

Il est tellement simple si on a accès à une machine de casser le mot de passe de l'administrateur.

Sans utiliser des outils complexes, sans tester tous les mots de passe, il suffit de remplacer le mot de passe inconnu par un connu.

La procédure est publique et bien expliquée sur le site de J.C. Bellamy :

Ou dans une autre version

S07 : Utiliser des outils adaptés

Voir chez Microsoft la page sur la sécurité :

MBSA (Microsoft Baseline Security Analyser) : [MBSAhome] qui permet un suivit des Patch et de la sécurité du poste. La version 1.2.1 (support 2003 et XP SP2) est disponible ou .
HFNCheck (hfnetchk.asp).

Voir chez GFI :

Languard Network Scanner (Gratuit pour une utilisation non commerciale) : [NS ]

D'autres outils gratuits et des FAQs : [grc.com/freepopular.htm ].
La boite à outils d'urgence : [dirk-loss.de/win-tools.htm ] en complément des outils de l'administrateur.
Les outils de vérification en ligne :

Scanner des ports : cnsc.ch
Pour tester les ports ouverts et valider la protection de son système : grc.com

S08 : Désactiver le LMHash

Si vous n'avez plus de poste Windows 9x/Me qui utilisent encore cette authentification, débarrassez vous du stockage du LMHash. Pour cela :

Sur un Poste NT/2000, Ajoutez la clé NoLMHash dans :
HKLM\SYSTEM\CurrentControlSet\Control\Lsa
Sur un poste XP/2003, Ajouter la valeur (DWORD) à la clé NoLMHash dans :
HKLM\SYSTEM\CurrentControlSet\Control\Lsa

Veuillez notez que les hash existants ne sont pas supprimé jusqu'au changement de tous les anciens mots de passe.

Il est aussi possible d'obtenir le même résultat en n'utilisant que des mots de passe de plus de 14 caractères.

S09 : Comment sécuriser Windows NT 4.0

Voici quelques liens sur des livres blancs et des procédures pour renforcer un ou des systèmes (même) Windows NT 4.0

Sécurisation de l'installation Windows NT 4.0 [MS ]
Guide : comment réduire les menaces contre Microsoft Windows NT 4.0 et Windows 98 [MS ]
Guide technique de présentation des canaux sécurisés et du processus d'authentification du client NT [MS ]